在Cisco路由器上創建ACL(訪問控制列表)是管理員常用的數據過濾和網絡安全防護措施，但是ACL的局限性是非常明顯的，因為它只能檢測到網絡層和傳輸層的數據信息，而對于封裝在IP包中的惡意信息它是無能為力的。因此，ACL并不可靠，需要CBAC(基于上下文的訪問控制)的配合，這樣網絡安全性將會極大提升。

一、CBAC簡述
CBAC(context-based access control)即基于上下文的訪問控制，它不用于ACL(訪問控制列表)并不能用來過濾每一種TCP/IP協議，但它對于運行TCP、UDP應用或某些多媒體應用(如Microsoft的NetShow或Real Audio)的網絡來說是一個較好的安全解決方案。除此之外，CBAC在流量過濾、流量檢查、警告和審計蛛絲馬跡、入侵檢測等方面表現卓越。在大多數情況下，我們只需在單個接口的一個方向上配置CBAC，即可實現只允許屬于現有會話的數據流進入內部網絡。可以說，ACL與CBAC是互補的，它們的組合可實現網絡安全的最大化。

二、CBAC的合理配置

1.CBAC配置前的評估
在進行CBAC配置之前需要對網絡的安全標準、應用需求等方面進行評估然后根據需要進行相應的配置。通常情況下，用戶可以在一個或多個接口的2個方向上配置CBAC。如果防火墻兩端的網絡都需要受保護的話，如在Extranet或Intranet的配置中，就可以在2個方向上配置CBAC。若防火墻被放置在2個合作伙伴公司網絡的中間，則可能想要為某些應用在一個方向上限制數據流，并為其它應用在反方向上限制數據流。
特別要注意的是，CBAC只能用于IP數據流。只有TCP和UDP數據包能被檢查，其他IP數據流
(如ICMP)不能被CBAC檢查，只能采用基本的訪問控制列表對其進行過濾。在不作應用層協議審查時，像自反訪問控制列表一樣，CBAc可以過濾所有的TCP和UDP會話。但CBAC也可以被配置來有效地處理多信道(多端口)應用層協議：cu-SeeMe(僅對whitePine版本)、FTP、H.323(如NetMeeting和ProShare)、HTTP(Java攔阻)、Java、MicrosftNetshow、UNIX的r系列命令(如rlogin、rexec和rsh);RealAudio、RPC(SunRPc，非DCERPC)MircosoftRPC、SMTP、SQL.Net、StreamWorks、TFTP、VDOLive。

2.選擇配置接口
為了恰當地配置CBAc，首先必須確定在哪個接口上配置CBAC。下面描述了內部口和外部接口間的不同之處。
配置數據流過濾的第一步是決定是否在防火墻的一個內部接口或外部接口上配置CBAC。在該環境下，所謂“內部”是指會話必須主動發起以讓其數據流被允許通過防火墻的一側;“外部”是指會話不能主動發起的一側(從外部發起的會話被禁止)。如果要在2個方向上配置CBAc，應該先在一個方向上使用適當的“Intemal”和“Extemal”接口指示配置CBAC。在另一個方向上配置CBAC時，則將該接口指示換成另一個。
CBAC常被用于2種基本的網絡拓撲結構之一。確定哪種拓撲結構與用戶自己的最吻合，可以幫助用戶決定是否應在一個內部接口或是在一個外部接口上配置CBAC。
圖l給出了第1種網絡拓撲結構。在該簡單的拓撲結構中，CBAC被配置在外部接口S0上。這可以防止指定的協議數據流進入該防火墻路由器和內部網絡，除非這些數據是由內部網絡所發起會話的一部分。

圖1#p#

圖2給出了第2種網絡拓撲結構。在該拓撲結構中，CBAC被配置在內部接口E0上，允許外部數據流訪問DMZ(連接在接口E1上的停火區)中的服務(如DNS服務)，同時防止指定的協議數據流如內部網絡，除非這些數據流是由內部網絡所發起的會話的一部分。這兩種拓撲結構之間的關鍵不同點是：第1種拓撲結構不允許外部數據流不經過CBAC過濾器就進入了路由器;第2中拓撲結構允許外部數據流入路由器，讓他們能不經過CBAC過濾器就到達位于DMZ區中的公共服務器。

圖2

根據這2個拓撲結構樣例，可以決定網絡是否應在一個內部接口或是在一個外部接口上配置CBAC。如果防火墻只有2條連接，一條是到內部網絡，另外一條是到外部網絡，那么只能使用入方向的訪問控制列表就可以了，因為數據包在有機會影響路由器之前已經被過濾了。

3.防火墻配置
當用戶用Cisco IOS配置任何IP防火墻時可參照下面給出的一些基本的配置指南。
(1).配置一個包含允許來自不受保護網絡的某些ICMP數據流條目的訪問控制列表。盡管一個拒絕所以不屬于受CBAC所審查的連接一部分的IP數據流的訪問控制列表看起來比較安全，但它對路由器的正確運行不太現實。路由器期望能夠看到來自網絡中其他路由器的ICMP數據流。ICMP數據流不能被CBAC所審查，所以應在防護控制列表中設置特定的條目以允許返回的ICMP數據流。如在受保護網絡中的一個用戶要用“Ping”命令來獲取位于不受保護網絡中的一臺主機的狀態，如果在訪問控制列表中沒有允許“echoreply”消息的條目，則在受保護網絡中的這位用戶就得不到其“Ping”命令的相應。下面所示的配置中含有允許關鍵ICMP消息的訪問控制列表條目：
Router(config)#access -list 101 permit icmp any any echo-reply
Router(config)#access -list 101 permit icmp any any time-execeeded
Router(config)#access -list 101 permit icmp any any packet-too-big
Router(config)#access -list 101 permit icmp any any traceroute
Router(config)#access -list 101 permit icmp any any UnreaChable
(2).在訪問控制列表中添加一個拒絕所有冒用受保護網絡中地址的外來數據流的條目。這被稱作防欺騙保護，因為它可以防止來自不受保護網絡的數據流假冒保護網絡中某個設備的身份。
(3).在訪問控制列表增加一個拒絕源地址為廣播地址(255.255.255.255)數據包的條目。該條目可以防止廣播攻擊。
(4).當對防火墻的訪問特權設置口令時，最好是用“enablesecret”命令而不是“enablepassword”命令。因為“enableesecret”命令使用了一種更強的加密算法。
(5).在控制臺端口上設置一個口令，至少應配置“login”和“password”命令。
(6).在以任何方法將控制臺連接到網絡上(包括在該端口上連接一個調制解調器)之前，應認真考慮訪問控制事宜。要知道，在重啟防火墻路由器時通過在控制臺端口上“break”鍵就可以獲得對它的完全控制權，即使配置了訪問控制也無法阻止。
(7).對所有的虛擬終端端口應用訪問控制列表和口令保護。用“access -class”命令指定的訪問可以通過telnet登錄到路由器上。
(8).不要啟用用不到的任何本地服務(如SNMP或網絡時間協議NTP)。Cisco發現吸引CDP(Cisco Discovery Protocol)和NTP的缺省是打開的，如果不使用的話就應該把它們關閉。
(9).任何被啟用的服務都有可能帶來潛在的安全風險。一個堅決的、有惡意的團體有可能會摸索出濫用所啟用服務的方法來訪問防火墻或網絡。對于被啟用的本地服務，，可以通過將它們配置為只與特定的對等體進行通信來防止被濫用，并通過在特定的接口上配置訪問控制列表來拒絕對這些服務的訪問數據包來保護自己。
(10).關閉低端口服務。對于IP可以輸入“noservicetcp-small-servers”和“noserviceudp-small-servers”全局配置命令。在Cisco IOS版本12.0及后續版本中，這些服務缺省就是關閉的。
(11).通過在任何異步telnet端口上配置訪問控制列表來防止防火墻被用作中繼跳板。
(12).通常情況下，應該在防火墻和所有其他路由器上關閉對任何可應用協議的定向廣播功能。對于IP協議，可使用no中“directed -broadcast”命令。在極少數情況下，有些IP網絡確實需要定向廣播功能，在這種情況下就不能關閉定向廣播功能，定向廣播可以被濫用來放大拒絕服務攻擊的力量，因為每個Dos數據包都會被廣播到同一子網的所有主機。另外，有些主機在處理廣播時還存在有其他固有的安全風險。
(13).配置“noproxy -arp”命令來防止內部地址被暴露(如果沒有配置NAT來防止內部地址被暴露的話，這么做是非常必要的)。
(14).將防火墻防在一個安全的區域內。#p#

三、配置接口的技巧

1.配置外部接口的技巧
如果在外部接口上有一個對外方向的IP訪問控制列表，則該訪問控制列表就可以是一個標準的或擴展的訪問控制列表。該外出方向的訪問控制列表應該允許想讓CBAC檢查的數據流通過。如果數據流不被允許，它就不能被CBAC檢查，就會被簡單地丟棄。
在外部接口上的入方向訪問控制列表必須是一個擴展的訪問控制類表。該入方訪問控制列表應該拒絕想要讓CBAC檢查的數據流。CBAC將在該人方向控制列表中產生適當的臨時通口，只允許返回數據進入，這些數據流屬于一個有效的已存在會話的一部分。

2.配置內部接口的技巧
如果在內部接口上有一個入方向的IP訪問控制列表，或在外部接口上有一個對外出方向的IP訪問控制列表，則這些訪問控制列表可以是標準的或者擴展的訪問控制類表。這些訪問控制類表應該允許想讓CBAC審查的數據流通過。如果數據流不被允許，它就不能被CBAC審查，就會被簡單地丟棄掉。
在內部接口上的外出方向的IP訪問控制列表和在外部接口上的入方向的訪問控制列表必須是擴展的訪問控制列表。這些訪問控制列表應該拒絕想要讓CBAC審查的數據流通過CBAC將在這些訪問控制列表中產生適當的臨時通道，只允許那些屬于一個有效的、已存在會話的一部分的返回數據流進入。不需要在內部接口的外出方向和外部接口的入口向上都配置一個擴展訪問控制列表，但至少需要配置一個，以限制數據流通過防火墻流進內部受保護的網絡。

四、總結

只有連接的控制信道會被CBAC審查和監視，數據信道不會被審查。如在FTP會話中，控制信道(通常是TCP端口21)和數據信道(通常是TCP端口20)的狀態變化都會被監視，但只有控制信道才會被審查。
CBAC審查識別控制信道中與應用具體相關的命令，并檢測和防止某些應用層攻擊，如SYN-flooding(SYN包風暴攻擊)等。當網絡攻擊者想一臺服務器發起了SYN包風暴攻擊。大量的半開連接會淹沒服務器，導致它拒絕正常的請求提供服務。無法訪問網絡設備的網絡攻擊被稱為服務攻擊(DoS)。
CBAC審查還在其它方面有助于防止拒絕服務攻擊。CBAC檢查TCP連接中的包序列號碼是否在所期望的范圍之內，并丟棄所有可疑的數據包。同時，也可以配置CBAC來丟棄半開連接，這需要占用防火墻的處理資源和內存資源來進行維護。另外，CBAC也可以檢測不尋常的新連接建立速率，并發出告警消息。
 

【編輯推薦】

1. 實例:華為和思科路由器的互聯配置
2. 思科路由器安全性管理
3. 思科路由器VLAN配置
4. 思科路由器RIP協議和IGRP協議配置
5. 思科路由器ISDN配置